SandWorm, APT Hackers Behind NotPetya og Industroyer

SandWorm er en af de mest berygtede Advanced Persistent Threat (APT) grupper. Dets aktiviteter kan spores tilbage til 2009, og det har været involveret i adskillige angreb mod enheder og nationer, der er modstandere af Rusland. Cybersikkerhedseksperter mener, at SandWorm APT-gruppen kan være en underafdeling af GRU, Ruslands militære efterretningsenhed. I tidligere kampagner er SandWorm-hackerne også blevet omtalt under aliaserne Iron Viking, Telebots og andre.

I de seneste år har SandWorm kommet i nyhederne utallige gange med brug af destruktiv og ny malware, der blev brugt i omhyggeligt orkestrerede angreb. Et af de mest berygtede implantater, som SandWorm er forbundet med, er NotPetya Ransomware - en af de første trusler, der sigter mod at beskadige Master Boot Record (MBR) i stedet for individuelle filer. Ved at slette MBR'en af harddiske sikrede NotPetya Ransomware, at de kompromitterede systemer slet ikke ville være i stand til at starte op.

Destruktiv malware ser ud til at være SandWorms speciale, og de er også ansvarlige for brugen af andre højprofilerede vinduesviskere som Olympic Destroyer og Industroyer. Førstnævnte var involveret i et cyberangreb, der fandt sted under åbningen af Vinter-OL 2018. I mellemtiden er Industroyer et ondsindet implantat, der er specielt designet til at målrette mod industrielle kontrolsystemer (ICS), der bruges i elnetinstallationer. SandWorm-hackerne brugte Industroyer i angreb mod det ukrainske elnet i 2016.

De seneste nyheder om SandWorm er forbundet med Industroyer2, en efterfølger af det berygtede implantat, de brugte i 2016. SandWorm-hackerne brugte det i april 2022, i endnu et angreb mod det ukrainske elnet. Målet med operationen var at udløse en blackout, ligesom den, hackerne havde formået at orkestrere i december 2015.